43 minuti

FATTURAZIONE ELETTRONICA: Garante privacy, necessarie maggiori garanzie per la memorizzazione dei dati.

Sì condizionato alle nuove regole tecniche dell’Agenzia delle entrate

 

Il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria. Dovranno però essere assicurate maggiori tutele a protezione dei dati e adeguata la normativa che regola il settore.

Lo schema presentato al Garante disciplina le modalità con cui l’Agenzia intende memorizzare e rendere disponibili, al proprio personale e alla Guardia di finanza, i file in formato xml delle fatture elettroniche e i dati in essi contenuti, inclusi, salvo alcune eccezioni, quelli relativi alla natura, qualità e quantità dei beni e dei servizi acquistati.

Per valutare adeguatamente, in concreto, la proporzionalità del trattamento prospettato dall’Agenzia, il Garante ha acquisito un campione rappresentativo delle fatture elettroniche emesse nei confronti di consumatori (quasi un miliardo l’anno) per settori di attività che presentano maggiori rischi per i diritti e le libertà degli interessati, alla luce della tipologia dei beni e dei servizi fatturati e della non rilevanza – a fini di detrazione/deduzione – delle spese sostenute.

Dall’analisi è emerso che le fatture possono contenere dati estremamente delicati, riferibili a specifiche persone fisiche, come quelli giudiziari relativi a cause di risarcimento danni, oppure informazioni relative a servizi investigativi, dettagli sui beni acquistati (tra cui prodotti intimi), alimenti consumati, luoghi dove si è dormito e con chi, modalità di spostamento. Ma anche dati riferibili a minorenni, come quelli giudiziari relativi a cause di affidamento minori.

La memorizzazione integrale delle fatture elettroniche, con la conseguente imponente raccolta di dati sui comportamenti di acquisto, determina la costruzione di uno specifico, dettagliato “profilo” di tutti i consumatori in base ai loro gusti, alle loro scelte, alle loro abitudini.

Alla luce dei gravi rischi connessi al trattamento dei dati proposto, il Garante ha chiesto all’Agenzia delle entrate di adottare ulteriori misure a tutela della privacy dei consumatori, al fine di renderlo conforme ai requisiti imposti dalla normativa europea (Gdpr) e nazionale sulla protezione dei dati.

Le informazioni contenute nelle fatture elettroniche – ad esclusione dei controlli svolti in relazione a richieste di detrazione/deduzione delle spese sostenute – non potranno essere utilizzate nei confronti del consumatore se non in conseguenza di verifiche fiscali già avviate su operatori economici, le quali lascino presuppore un rischio di evasione fiscale del consumatore stesso. Dovranno essere inoltre attivati sistemi di controllo e monitoraggio sul rispetto di tali garanzie nell’utilizzo delle informazioni contenute nelle fatture elettroniche. I dati relativi al settore legale dovranno essere resi inintelligibili.

Il Garante, inoltre, contestualmente al rilascio del parere all’Agenzia delle entrate, ha segnalato al Parlamento e al Governo l’opportunità di introdurre una disposizione legislativa per limitare l’utilizzo delle informazioni contenute nelle fatture elettroniche alle sole finalità di contrasto all’evasione fiscale, limitando i diritti di accesso alla documentazione amministrativa da parte di soggetti non collegati alla fattura, nel rispetto dei principi di proporzionalità, di liceità e correttezza, di limitazione della finalità e di minimizzazione del trattamento.

Il Garante infine sta intervenendo presso le associazioni di categoria degli operatori economici per ricordare che non devono essere emesse fatture elettroniche al posto di altri documenti commerciali, come lo scontrino fiscale, se non nei casi previsti dalla legge o su richiesta del consumatore stesso.

 

[doc. web n. 9732234]

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria – 22 dicembre 2021

Registro dei provvedimenti
n. 454 del 22 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

L’Agenzia delle entrate, con nota del 20 settembre 2021, ha sottoposto al Garante lo schema di provvedimento del Direttore dell’Agenzia recante “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti o stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere e per l’attuazione delle ulteriori disposizioni di cui all’articolo 1 del decreto legislativo 5 agosto 2015, n. 127”, attuativo anche dell’art. 14 del decreto legge 26 ottobre 2019, n. 124, convertito, con modificazioni, dalla legge 19 dicembre 2019, n. 157, che ha modificato il predetto decreto legislativo.

Alla predetta nota sono state allegate tre valutazioni di impatto sulla protezione dei dati, relative ai prospettati diversi utilizzi delle informazioni contenute nelle fatture elettroniche da parte dell’Agenzia delle entrate, e una nuova versione dell’allegato C contenente l’elenco delle informazioni memorizzate nella banca dati dei cc.dd. “dati fattura integrati”, mentre non sono stati trasmessi gli allegati A e B, che si presumono invariati rispetto a quelli allegati al provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018 e successive modificazioni, avente il medesimo oggetto.

1. Il quadro normativo.

L’art. 14 del citato decreto legge n. 124/2019 ha introdotto, in particolare, all’art. 1 del d.lgs. 5 agosto 2015, n. 127, che disciplina la fatturazione elettronica, due commi, i quali prevedono che:

“i file delle fatture elettroniche acquisiti ai sensi del comma 3 sono memorizzati fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, al fine di essere utilizzati:

a) dalla Guardia di finanza nell’assolvimento delle funzioni di polizia economica e finanziaria di cui all’articolo 2, comma 2, del decreto legislativo 19 marzo 2001, n. 68;

b) dall’Agenzia delle entrate e dalla Guardia di Finanza per le attività di analisi del rischio e di controllo a fini fiscali” (art. 1, comma 5-bis);

“ai fini di cui al comma 5-bis, la Guardia di Finanza e l’Agenzia delle entrate, sentito il Garante per la protezione dei dati personali, adottano idonee misure di garanzia a tutela dei diritti e delle libertà degli interessati, attraverso la previsione di apposite misure di sicurezza, anche di carattere organizzativo, in conformità con le disposizioni del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e del decreto legislativo 30 giugno 2003, n. 196” (art. 1, comma 5-ter).

2. Lo schema di provvedimento.

Lo schema di provvedimento in esame è volto a sostituire integralmente il provvedimento del Direttore dell’Agenzia delle entrate del 30 aprile 2018 e successive modificazioni (che tiene conto di quanto rilevato dal Garante nel parere il 20 dicembre 2018, doc. web n. 9069072), disciplinando, in particolare, in attuazione al citato art. 14 del d.l. n. 124/2019, le modalità con cui l’Agenzia intende memorizzare e rendere disponibili, al proprio personale e alla Guardia di finanza, i file XML delle fatture elettroniche e le informazioni in essi contenute. In particolare, per quanto riguarda gli aspetti introdotti con lo schema in esame, è prevista:

la memorizzazione nella banca dati dei cc.dd. “dati fattura” delle informazioni fiscalmente rilevanti di cui all’art. 21 del d.P.R. n. 633/1972 nonché le altre informazioni indicate nelle specifiche tecniche di cui all’allegato A allo schema di provvedimento – ad esclusione di quelle relative alla natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione – e dei dati necessari a garantire il processo di fatturazione elettronica attraverso il Sistema di interscambio (SDI) (compreso il codice hash, ossia il codice alfanumerico che caratterizza univocamente ciascuna fattura elettronica), nonché l’utilizzo di tali informazioni “per lo svolgimento, in particolare, delle attività di assistenza, di controllo finalizzato all’erogazione dei rimborsi, di elaborazione dei dati per attività di analisi del rischio, di controllo automatizzato e puntuale che possono essere effettuate anche attraverso l’incrocio con le informazioni presenti nelle banche dati dell’Agenzia delle entrate” (punti 1.2 e 11.3 dello schema), già prevista nel provvedimento vigente;

l’introduzione della memorizzazione nella banca dati dei cc.dd. “dati fattura integrati” dei dati riportati nell’allegato C allo schema in esame che contiene, fatta eccezione per le fatture emesse per operazioni eseguite nei confronti di consumatori finali privati, ulteriori dati rilevanti ai fini fiscali, ivi compresi quelli relativi alla natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione, di cui al citato comma 2, lett. g), dell’art. 21 del d.P.R. n. 633 del 1972, e alle modalità di pagamento, nonché l’utilizzo di tali informazioni “per lo svolgimento delle attività di analisi del rischio, di promozione dell’adempimento spontaneo di cui all’articolo 1, commi 634 e seguenti, della legge 23 dicembre 2014, n. 190 e di controllo ai fini fiscali”, “anche attraverso l’elaborazione dei predetti dati con i dati delle operazioni transfrontaliere e quelli presenti nelle altre banche dati dell’Agenzia delle entrate” (punti 1.2 e 11.2 dello schema);

la consultazione e l’acquisizione dei file XML delle fatture elettroniche e delle note di variazione, da parte del personale centrale e delle strutture territoriali dell’Agenzia delle entrate specificatamente autorizzato, nell’ambito delle attività istruttorie connesse (punto 11.4 dello schema):

a) all’esecuzione dei rimborsi ai sensi dell’art. 38-bis del d.P.R. n. 633/1972;

b) all’esercizio dei poteri di cui agli artt. 51 del d.P.R. n. 633/1972 e 32 del d.P.R. n. 600/1973;

c) all’espletamento degli accessi, ispezioni e verifiche previsti dagli artt. 52 del d.P.R. n. 633/1972 e 33 del d.P.R. n. 600/1973;

d) al controllo formale delle dichiarazioni ai sensi dell’art. 36-ter del d.P.R. n. 600/1973;

e) al controllo preventivo sulle dichiarazioni presentate mediante modello 730 con esito a rimborso, ai sensi dell’art. 5, comma 3-bis, del d.lgs. n. 175/2014;

la memorizzazione integrale dei file XML di tutte le fatture elettroniche B2B, B2C e B2G (comprensive del campo relativo agli allegati) e le note di variazione transitate sul Sistema di interscambio (SDI) dell’Agenzia delle entrate relative, dei “dati fattura” e dei “dati fattura integrati” fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi (punto 11.6 dello schema);

la stipula di una convenzione con la Guardia di finanza per la messa a disposizione dei file XML delle fatture elettroniche e dei “dati fattura integrati” per le attività di polizia economica e finanziaria ai sensi dell’art. 1, comma 5-bis, del d.lgs. n. 127/2015 (punto 11.5 dello schema);

modificando quanto previsto con il citato provvedimento del 30 aprile 2018 – che disciplina l’utilizzo del servizio di consultazione e acquisizione delle fatture elettroniche e dei loro duplicati informatici, anche nel periodo transitorio, da parte degli operatori economici e dei consumatori finali ai punti 8-bis e 8-ter – l’accesso di tali soggetti, rispettivamente a un “servizio di consultazione e acquisizione delle fatture elettroniche emesse e ricevute attraverso il SdI all’interno di un’area riservata del sito web dell’Agenzia delle entrate” che sono “disponibili nella citata area riservata sino al 31 dicembre del secondo anno successivo a quello di ricezione da parte del SdI”, nonché a un “servizio di consultazione delle fatture elettroniche ricevute previa adesione da effettuarsi mediante apposita funzionalità resa disponibile nell’area riservata del sito web dell’Agenzia delle entrate”, che “sono disponibili nella citata area riservata sino al 31 dicembre del secondo anno successivo a quello di ricezione da parte del SdI” (punti 8.1 e 9 dello schema).

OSSERVA

3. Sintesi dei precedenti provvedimenti del Garante.

Al fine di consentire una compiuta disamina della questione in esame, è opportuno ricostruire in sintesi i trattamenti effettuati dall’Agenzia delle entrate in relazione alla fatturazione elettronica, tenendo conto delle pronunce del Garante al riguardo.

Allo stato, l’Agenzia delle entrate, oltre a recapitare ai destinatari (cessionari/committenti) le fatture elettroniche trasmesse dagli operatori economici (cedenti/prestatori) attraverso il proprio Sistema di interscambio (SDI), estrae dai file XML di tutte le fatture elettroniche che transitano sullo SDI i c.d. “dati fattura” rilevanti a fini fiscali – a esclusione di quelli relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione – che possono essere utilizzati, in particolare, per controlli automatizzati, stimolo dell’adempimento spontaneo, rimborsi IVA, servizi ai contribuenti (precompilata IVA) in base al citato provvedimento del Direttore dell’Agenzia del 30 aprile 2018. Viene calcolato, inoltre, anche il codice hash di ciascun file XML per consentire all’Agenzia di controllare, a posteriori, l’autenticità e l’integrità delle fatture elettroniche prodotte dal contribuente in sede di controllo.

Inoltre, l’Agenzia offre ai contribuenti servizi di consultazione e conservazione delle fatture elettroniche:

in caso di operatori economici che abbiano scelto di aderire ai servizi di consultazione e conservazione a norma, i file XML delle fatture sono memorizzati dall’Agenzia in qualità di responsabile del trattamento (art. 28 del Regolamento);

in caso di consumatori finali che abbiano scelto di aderire al servizio di consultazione, i file XML delle fatture sono memorizzati dall’Agenzia in qualità di titolare del trattamento sulla base di uno specifico contratto (art. 6, par. 1, lett. b), del Regolamento).

Allo stato, i file XML di tutte le fatture transitate sullo SDI dal 2019 sono memorizzati integralmente in attesa della scadenza del termine per l’adesione da parte dei contribuenti a tali servizi (prorogato, da ultimo, fino al 31 dicembre 2021, anche in relazione alle fatture trasmesse a partire dal 2019). Trascorsi 60 giorni dallo spirare del predetto termine, i file XML delle fatture elettroniche riferibili a contribuenti che non hanno aderito ai servizi di consultazione o di conservazione dovrebbero essere cancellati, salvo quanto previsto dallo schema di provvedimento attuativo del citato art. 14 che dispone la memorizzazione di tutti i file XML delle fatture elettroniche, previa individuazione di idonee misure di garanzia a tutela dei diritti e delle libertà degli interessati.

In base al citato provvedimento del Garante del 20 dicembre 2018, è stato poi previsto, introducendo nella normativa primaria anche un apposito divieto, che attraverso lo SDI non debbano transitare le fatture emesse in ambito sanitario contenenti dati personali relativi allo stato di salute, i cui dati vengono invece raccolti dal Sistema TS del Ministero dell’economia e delle finanze e trasmessi all’Agenzia con opportune garanzie.

In seguito all’entrata in vigore del citato art. 14 del d.l. n. 124/2019, l’Agenzia aveva predisposto un nuovo schema di provvedimento che prevedeva:

la memorizzazione dei c.d. “dati fattura integrati” che, in aggiunta alle informazioni già memorizzate nell’ambito dei c.d. “dati fattura”, avrebbero incluso anche i dati relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione (ovvero la descrizione dell’oggetto della fattura) per tutte le tipologie di fatture elettroniche (B2B, B2C e B2G), per lo svolgimento delle attività di analisi del rischio, di promozione dell’adempimento spontaneo di cui all’art. 1, commi 634 e ss., della legge 23 dicembre 2014, n. 190 e di controllo ai fini fiscali;

la memorizzazione integrale dei file XML di tutte le fatture elettroniche transitate sullo SDI, comprensive degli allegati, con la consultazione e l’acquisizione da parte della Guardia di Finanza, per le attività di polizia economica e finanziaria, nonché da parte dell’Agenzia delle entrate e dalla Guardia di Finanza per le attività di controllo puntuale a fini fiscali, in attuazione delle disposizioni di cui all’art. 1, comma 5-bis, del decreto legislativo n. 127 del 2015.

Al riguardo, il Garante si è espresso con il provvedimento n. 133 del 9 luglio 2020 (doc. web n. 9434785), ritenendo che il predetto schema di provvedimento disciplinasse “un trattamento di dati in violazione degli artt. 5, par. 1., lett. a), 6, par. 3, 9, 10, 24 e 25 del Regolamento, riguardante, peraltro senza distinzione alcuna tra tipologie di informazioni o categorie di interessati e dati personali di dettaglio, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi alla totalità della popolazione, non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito, non individuando, in ossequio ai principi di privacy by design e by default, misure di garanzia adeguate per assicurare la protezione dei dati, anche in relazione a quelli di cui agli artt. 9 e 10 del Regolamento”.

4. Descrizione dei dati oggetto di trattamento.

Attualmente risultano transitare sullo SDI dell’Agenzia delle entrate circa 2 miliardi di fatture elettroniche all’anno, di cui poco meno della metà è emessa nei confronti dei consumatori persone fisiche che, di regola, contengono dati, anche molto di dettaglio, volti ad individuare – spesso a soli fini di garanzia, assicurativi o per prassi commerciali – i beni ceduti e i servizi prestati, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti anche a sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da specifiche normative di settore, con particolare riguardo ai trasporti, alle forniture di servizi energetici o di telecomunicazioni (tipologie dei consumi, fatturazione dettagliata, regolarità dei pagamenti, appartenenza a particolari categorie di utenti), con la presenza, all’interno dei file delle fatture elettroniche, di ulteriori dati utili alla gestione del ciclo attivo e passivo degli operatori, ma non rilevanti a fini fiscali (come, ad esempio, quelli contenuti negli allegati).

Per valutare adeguatamente, in concreto, la proporzionalità del trattamento prospettato dall’Agenzia, il Garante ha acquisito un campione sufficientemente rappresentativo delle fatture emesse nei confronti di consumatori (B2C) e relative a settori di attività che, prima facie, possono presentare maggiori rischi per i diritti e le libertà degli interessati in ragione della tipologia dei beni e dei servizi fatturati e della non rilevanza – a fini di detrazione/deduzione – delle spese sostenute dai consumatori.

Di seguito, si riporta una sintesi degli esiti dell’analisi delle predette fatture elettroniche in relazione agli aspetti con maggior impatto sui diritti e le libertà degli interessati, sottolineando, in particolare, che, in molti casi presenti nel campione analizzato, riferibili principalmente al commercio elettronico, l’emissione di fatture elettroniche nei confronti dei consumatori finali, in luogo di altri documenti commerciali, non è avvenuta in base a un obbligo imposto dalla normativa fiscale.

a) Attività legale.

Maggiore criticità presentano le fatture emesse in ambito legale, all’interno delle quali, nel campo relativo alla descrizione del servizio oggetto di fatturazione, è, di regola, riportato:

il nominativo della persona in favore della quale si è prestato il servizio legale (questo risulta essere una prassi anche nelle fatture B2B o B2G, come risulta da quelle emesse nei confronti del Ministero della giustizia per il gratuito patrocinio dove sono dettagliati i soggetti e i procedimenti per i quali si è svolta assistenza), da cui si evincono anche i nominativi dei minori laddove interessati alla prestazione legale, essendo la fattura emessa nei confronti del genitore;

tipologia di procedimento (ambito civile o penale, talvolta con l’indicazione del reato, di sorveglianza, di lavoro, di separazione/divorzio, di affidamento minori, di risarcimento danni, ecc.);

l’autorità procedente (Tribunale dei minori, Procura della Repubblica, magistratura di sorveglianza, TAR, ecc.);

il numero del procedimento (RG, RGNR) e lo stato di avanzamento processuale;

la tipologia di servizio (consulenza, udienza, memoria, ecc.).

Tali informazioni risultano, infatti, necessarie ai professionisti per documentare alle parti il lavoro svolto, soprattutto in caso di procedimenti con fatturazioni diluite nel tempo e/o pluralità di attività nei confronti dello stesso cliente.

Di seguito si riportano alcuni esempi di descrizione: acconto proc. pen. trib. minorile carico del figlio cognome nome a seguito di identificazione ex art. 161 c.p.p. per i fatti del 06.02.2020; assistenza causa innanzi al tribunale per i minorenni delle marche procedimento n. xxx/17/vg concluso con decreto del 12.10.2017 e assistenza causa innanzi al tribunale ordinario per affido – procedimento n. xxx/2018 vg concluso con decreto del 16.01.2019; onorari proc.pen. r.gip. n. xx/2019 tribunale per i minorenni di Sassari, imputato cognome nome; cognome nome / cognome nome – tribunale di Como – separazione personale consensuale; compenso professionale relativo alla partecipazione e assistenza all’imputato comparso avanti il magistrato di sorveglianza di Mantova procedimento n. xxx/2019; procedimento penale n. xxx/19 rg corte di appello di Reggio Calabria, a carico di cognome nome imputato del reato di cui agli artt. 110 e 648 c.p., definito con sentenza in data 11/02/2020.

b) Servizi di investigazione.

Nelle fatture relative ai servizi di investigazione vengono descritte accuratamente le prestazioni effettuate (es. bonifica ambientale e bonifica di vs. dispositivo elettronico, indagini difensive su incarico difensore, controllo presenza dispositivi elettronici per il controllo a distanza, con l’indicazione della vettura e della targa, indagine matrimoniale per infedeltà coniugale, ricerca intestatari di numeri telefonici, ecc.), riportando, talvolta, anche i dati anagrafici dell’interessato oggetto dell’indagine eseguita.

c) Commercio al dettaglio di qualsiasi tipo di prodotto.

Nell’ambito del commercio, nel campo oggetto della fattura, emergono i più disparati beni e servizi acquistati da persone fisiche, di cui viene riportata un’accurata descrizione (cartoleria, dispositivi elettronici, prodotti igienici, ecc.). Di particolare rilevanza, poiché emergono anche categorie di dati particolari, associate al codice fiscale dell’acquirente, sono:

sex toys, con la descrizione dettagliata del bene acquistato;

libri e film, dove viene riportato il titolo del prodotto acquistato;

articoli di abbigliamento e calzature, con indicazione della tipologia, del nome dell’articolo, colore e misura abbigliamento e calzature;

altri articoli riferibili, ad esempio, a giocattoli o prodotti intimi.

d) Alberghi.

Nelle attività afferenti al settore alberghiero, di regola, sono riportate le date del soggiorno, la tipologia di camera e spesso anche i nominativi degli occupanti della camera, specificando la presenza di minori, anche quando il committente è una persona non fisica (quindi B2B). Vengono, inoltre dettagliate le prestazioni accessorie acquistate (come massaggi, pacchetti, extra, servizio in camera, minibar con dettaglio degli acquisti, ecc.).

e) Trasporti, noleggi/riparazioni veicoli e parcheggi.

Per quanto riguarda i trasporti, nelle fatture dei biglietti aerei, marittimi e ferroviari sono riportate le destinazioni e le date del viaggio, indicando il nome e cognome del passeggero. In relazione ai noleggi di veicoli vari: nelle fatture è presente spesso la targa del veicolo noleggiato, con la data e ora di consegna e riconsegna (oppure il totale dei minuti), luogo di riconsegna ed eventuali extra (multe, carburante, danni ecc.). Per le riparazioni dei veicoli, invece, nelle fatture, oltre alle prestazioni eseguite, sono riportati: la targa, il modello, il numero di telaio, i chilometri percorsi. Con riferimento ai parcheggi sono riportate, di regola, le date di inizio e fine della sosta, la targa del veicolo.

f) Ristorazione.

Nelle fatture relative al settore della ristorazione spesso è presente la descrizione dettagliata del cibo e delle bevande acquistate (bomba alla ricotta, raviolo fritto di cioccolato, fritturina di mare, ecc.).

g) Fornitura di energia elettrica, gas, acqua e altre utenze.

Con riferimento alle fatture emesse da cc.dd. utilities (es. energia elettrica, gas, acqua, gestione rifiuti, abbonamenti tv, telefonia), è possibile rilevare che:

nel dettaglio della fattura emergono i volumi dei consumi, riferibili alle fasce orarie della giornata o ai periodi dell’anno;

talvolta sono presenti gli extra oggetto dei servizi e la descrizione del dettaglio;

possono emergere dati relativi allo stato di salute e alla condizione economica degli utenti, desumibili dall’applicazione di tariffe agevolate;

è spesso allegata al file XML anche la fattura in formato pdf che contiene un maggior dettaglio dei consumi e altre informazioni contrattuali (es. eventuale morosità, piani tariffari).

5. Elementi di criticità.

5.1 Profili generali.

Si prende favorevolmente atto del fatto che l’Agenzia ha deciso di non includere, nella banca dati sintetica dei c.d. “dati fattura integrati”, le informazioni relative a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione e alle modalità di pagamento di tutte le fatture emesse nei confronti dei consumatori finali (c.d. oggetto della fattura per le operazioni B2C).

Tuttavia, come sopra rilevato con riferimento ad alcuni settori e, specialmente, al settore legale, anche fatture emesse nei confronti di operatori economici o di pubbliche amministrazioni (B2B e B2G) riportano nella descrizione del bene ceduto o del servizio prestato dati riferibili a persone fisiche, appartenenti anche a categorie particolari o relativi a condanne penali o reati (artt. 9 e 10 del Regolamento).

Inoltre, come emerge dagli elementi rappresentati al paragrafo 2 del presente provvedimento, la memorizzazione integrale dei file XML, corredati dei relativi allegati, fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, comporta comunque la concentrazione presso l’Agenzia delle entrate di miliardi di fatture elettroniche contenenti dati, anche appartenenti a categorie particolari o relativi a condanne penali e reati, riferiti a ogni aspetto della vita quotidiana, abitudini e scelte di consumo delle persone fisiche.

Tali trattamenti – in assenza di adeguate misure di garanzia a tutela degli interessati che assicurino, in modo rigoroso, nel rispetto del principio di privacy by design e by default (art. 25 del Regolamento), il trattamento delle sole informazioni necessarie ai fini del contrasto all’evasione dell’IVA, cui l’istituto della fatturazione elettronica è preordinato – determinano un’ingerenza, sistematica e preventiva, nella sfera privata più intima delle persone fisiche, non proporzionata all’obiettivo di interesse pubblico, pur legittimo, perseguito dall’Agenzia e dalla Guardia di finanza (art. 6, par. 3, e 9, par. 2, lett. g), del Regolamento). Ciò, con riferimento ai prospettati utilizzi sia in ambito amministrativo che di polizia economico-finanziaria.

Del resto, lo stesso legislatore, con il citato art. 14 del d.l. n. 124/2019, a fronte dei rischi presentati da un siffatto trattamento, ha imposto all’Agenzia delle entrate e alla Guardia di finanza di individuare adeguate misure di garanzia volte ad assicurarne la conformità al Regolamento e del Codice, che non possono ritenersi limitate unicamente agli aspetti relativi alla sicurezza del trattamento, ma devono essere volte ad attuare, in modo efficace, i principi di protezione dei dati, quali la minimizzazione e la limitazione della conservazione, e a garantire che, per impostazione predefinita, siano trattati solo i dati necessari. L’obbligo di adottare misure tecniche e organizzative adeguate è riferibile, infatti, anche alla quantità dei dati raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità (art. 25 del Regolamento). Non è possibile infatti interpretare in modo restrittivo la portata delle misure di garanzia, limitandole ai soli aspetti di sicurezza, atteso che il Regolamento, secondo un approccio basato sul rischio, richiede l’adozione di “misure atte a garantire un trattamento lecito e corretto”, di “misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”, di “misure tecniche e organizzative, volte ad attuare in modo efficace i principi di protezione dei dati […] e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del […] Regolamento e tutelare i diritti degli interessati”, riferibili non soltanto all’attuazione degli obblighi di cui all’art. 32 del Regolamento.

Sotto altro profilo, occorre inoltre tenere presente che, non essendovi l’obbligo per il cedente/prestatore di identificare il cessionario/committente, salvo in alcuni casi circoscritti (ad esempio per obblighi antiriciclaggio), la riferibilità a un consumatore dei dati personali presenti nelle fatture, a fini diversi da quelli per i quali sono raccolti (quali, in particolare, l’attuazione delle disciplina dell’IVA), potrebbe portare a trattamenti non corretti, con errata rappresentazione della sua capacità contributiva, e in relazione ai quali potrebbe risultare impossibile (o, quantomeno, difficile) per l’interessato comprovare, a posteriori e a distanza di tempo, l’inesattezza.

Una diversa interpretazione dell’art. 14 del d.l. 124/2019, che – tenuto conto del trattamento derivante dalla memorizzazione integrale di tutti file XML transitati sullo SDI, relativo, in particolare, ai dati presenti nella descrizione delle fatture B2C, nonché dell’estrazione delle informazioni contenute in tale campo di tutte le fatture elettroniche afferenti al settore legale – limitasse l’ambito di intervento della relativa disciplina di attuazione all’individuazione e all’adozione di mere misure di sicurezza, in luogo di più ampie misure di garanzia, si porrebbe in contrasto con i principi del Regolamento, con conseguente obbligo di disapplicazione dei profili che violano la normativa europea di protezione dei dati.

5.2 Le misure di garanzia necessarie.

Alla luce delle criticità sopra individuate, al fine di assicurare la conformità al Regolamento e al Codice, le misure di garanzia devono assicurare, in particolare, che, con riferimento al settore legale, i campi relativi alla descrizione dei beni ceduti e dei servizi prestati, e agli eventuali allegati, dei file XML delle fatture elettroniche (relative alle operazioni B2B, B2C e B2G) e le informazioni relative alla predetta descrizione siano resi inintelligibili adottando  misure idonee a garantire la protezione dei dati personali by default e comunque con modalità compatibili con la disciplinana relativa all’inalterabilità di tali documenti e le informazioni relative alla predetta descrizione siano, altresì, escluse dalla memorizzazione dalla banca dati dei “dati fattura integrati” (anche con riferimento alle operazioni B2B e B2G).

Inoltre, le predette misure devono garantire che i dati contenuti nei file XML delle fatture elettroniche non siano utilizzabili nei confronti del consumatore finale se non esclusivamente in caso di un controllo avviato in conseguenza di puntuali verifiche fiscali – poste in essere preliminarmente nei confronti di operatori economici nell’ambito del contrasto all’evasione dell’IVA – i cui beni ceduti o servizi prestati, oggetto della fattura elettronica, siano stati acquistati dalla predetta persona fisica e, contestualmente, gli elementi così rilevati dalla stessa fattura siano tali da far emergere un rischio di evasione fiscale. A tal fine, occorre che l’Agenzia delle entrate, sentito il Garante, individui le predette misure di garanzia adeguate a escludere ulteriori trattamenti dei dati contenuti nei file XML delle fatture elettroniche B2C, anche adottando sistemi di controllo e monitoraggio che consentano all’Agenzia e al Garante la verifica della conformità ai predetti criteri delle attività di trattamento effettuate nei confronti delle persone fisiche. In ogni caso, le medesime garanzie devono intendersi riferite anche alle attività di trattamento effettuate dalla Guardia di finanza ai sensi dell’art. 14 del d.l. n. 124 del 2019 (fermo restando che la convenzione prevista dal punto 11.5 dello schema di provvedimento in esame deve essere stipulata in conformità all’art. 47 del d.lgs. n. 51/2018 e sottoposta al parere del Garante).

5.3 La limitazione delle finalità del trattamento.

Le predette misure di garanzia, tuttavia, potrebbero risultare non sufficienti ad assicurare la conformità al Regolamento e al Codice, laddove non venisse introdotta una disposizione legislativa volta a limitare l’utilizzo delle informazioni contenute nei file XML delle fatture elettroniche alle sole finalità specifiche individuate dall’art. 14 del d.l. n. 124/2019, sottraendole anche dall’accesso ai sensi della legge 7 agosto 1990, n. 241, da parte di soggetti diversi dal cedente/prestatore o dal cessionario/committente, in ossequio ai principi di proporzionalità, di liceità e correttezza, di limitazione della finalità e di minimizzazione di cui all’art. 5, par. 1, lett. a), b), c), del Regolamento.

Si tenga, infatti, presente che quando la raccolta di una simile mole di informazioni, di cui è stata rappresentata la pervasività rispetto a ogni aspetto della vita quotidiana delle persone fisiche, viene accentrata presso una banca dati pubblica, questa diviene un patrimonio informativo di per sé destinato a essere oggetto di potenziali utilizzi da parte di innumerevoli soggetti e autorità pubbliche, ma anche, come da ultimo ribadito dal Consiglio di Stato, di richieste di accesso da parte da chiunque ne abbia interesse ai sensi della legge n. 241/1990 (Consiglio di Stato, Sez. 2, Sent. n. 13/2020, pubblicata il 25 settembre 2020, con riferimento all’archivio dei rapporti finanziari). Tali considerazioni assumono ancora maggior rilievo a fronte della recente novella degli artt. 2-ter e 2-sexies del Codice e dell’art. 5 del d.lgs. n. 51/2018, da parte del d.l. 8 ottobre 2021, n. 139, così come modificato in sede di conversione dalla legge 3 dicembre 2021, n. 205, che ha ampliato i presupposti per il trattamento dei dati personali (ivi compresa la comunicazione e la diffusione) effettuato per compiti di interesse pubblico, anche in ambito di polizia, che non è più vincolato all’esistenza di una specifica base giuridica in fonti di rango legislativo o, nei casi ivi previsti, regolamentare.

5.4 Il servizio di consultazione delle fatture elettroniche.

Con riferimento al servizio di consultazione e acquisizione delle fatture elettroniche e dei loro duplicati informatici offerto agli operatori economici e ai consumatori finali, lo schema di provvedimento in esame non individua con sufficiente chiarezza il ruolo assunto dall’Agenzia delle entrate in relazione a tali attività di trattamento, come definiti negli accordi di adesione elaborati in attuazione del provvedimento del 30 aprile 2018, anche sulla base delle indicazioni fornite a suo tempo da questa Autorità (cfr. paragrafo 3 del presente provvedimento). Al riguardo, si osserva che lo schema di provvedimento in esame venga integrato in tal senso.

5.5 L’emissione di fatture elettroniche in luogo di altri documenti commerciali.

Infine, si ritiene necessario rappresentare agli operatori economici che l’emissione, in luogo di altri documenti commerciali, di fatture elettroniche nei confronti dei consumatori finali – che, in conseguenza della trasmissione allo SDI, comporta anche i trattamenti da parte dell’Agenzia delle entrate e dalla Guardia di finanza disciplinati dallo schema in esame – può ritenersi autorizzata ai sensi del Regolamento unicamente laddove ciò sia previsto da un obbligo di legge (art. 6, par. 1, lett. c)), ovvero avvenga su richiesta del consumatore finale (art. 6, par. 1, lett. a)).

RITENUTO

Alla luce delle criticità e dei rilievi sopra evidenziati, emergenti anche dal quadro normativo vigente, al fine di assicurare che i trattamenti effettuati in attuazione dello schema di provvedimento in esame, attuativo anche dell’art. 14 del d.l. n. 124/2019, possano ritenersi conformi al quadro normativo internazionale, europeo e nazionale in materia di protezione dei dati personali, si esprime parere favorevole sullo schema di provvedimento in esame a condizione che:

1) con riferimento alle fatture afferenti al settore legale, i campi relativi alla descrizione dei beni ceduti e dei servizi prestati, e agli eventuali allegati, dei file XML delle fatture elettroniche (relative alle operazioni B2B, B2C e B2G) siano resi inintellegibili adottando misure idonee a garantire la protezione dei dati personali by default e comunque con modalità compatibili con la disciplina relativa all’inalterabilità di tali documenti  e le informazioni relative alla predetta descrizione siano escluse dalla memorizzazione dalla banca dati dei “dati fattura integrati” (anche con riferimento alle operazioni B2B e B2G);

2) fatte salve le attività di controllo svolte in relazione a richieste di detrazione/deduzione delle spese sostenute, i controlli fiscali nei confronti del consumatore finale fondati sulle informazioni presenti nei file XML delle fatture elettroniche siano avviati esclusivamente in conseguenza di puntuali verifiche fiscali – poste in essere preliminarmente nei confronti di operatori economici nell’ambito del contrasto all’evasione dell’IVA – i cui beni ceduti o servizi prestati, oggetto della fattura elettronica, siano stati acquistati dalla predetta persona fisica e, contestualmente, gli elementi così rilevati dalla stessa fattura siano tali da far emergere un rischio di evasione fiscale; al di fuori di tale ipotesi i dati contenuti nei file XML delle fatture elettroniche non possono essere utilizzati nei confronti dei consumatori finali;

3) l’Agenzia delle entrate, sentito il Garante, individui le misure di garanzia di cui al precedente punto 2, adeguate a escludere ulteriori trattamenti dei dati contenuti nei file XML delle fatture elettroniche relativi alle operazioni B2C, anche adottando sistemi di controllo e monitoraggio che consentano all’Agenzia e al Garante la verifica della conformità ai predetti criteri delle attività di trattamento effettuate nei confronti delle persone fisiche;

4) le garanzie di cui ai precedenti punti 1, 2 e 3 siano assicurate anche in relazione alle attività di trattamento effettuate dalla Guardia di finanza ai sensi dell’art. 14 del d.l. n. 124 del 2019, fermo restando che la convenzione prevista dal punto 11.5 dello schema di provvedimento in esame deve essere stipulata in conformità all’art. 47 del d.lgs. n. 51/2018 e sottoposta al parere del Garante;

5) lo schema di provvedimento in esame sia integrato precisando il ruolo assunto dall’Agenzia delle entrate in relazione alle attività di trattamento connesse all’erogazione del servizio di consultazione e acquisizione delle fatture elettroniche e dei loro duplicati informatici, offerto agli operatori economici e ai consumatori finali, in conformità a quanto previsto dai relativi accordi di adesione.

Inoltre, per assicurare complessivamente la conformità alla normativa in materia di protezione dei dati personali nell’ambito delle attività di fatturazione elettronica, si ritiene necessario avvertire i cedenti/prestatori che il trattamento effettuato attraverso l’emissione di fatture elettroniche nei confronti del consumatore finale, in luogo di altri documenti commerciali, può violare il Regolamento laddove ciò avvenga in assenza di un obbligo di legge (art. 6, par. 1, lett. c)), ovvero di una richiesta di quest’ultimo (art. 6, par. 1, lett. a)).

Si ritiene, infine, necessario rinviare l’esame delle valutazioni d’impatto sulla protezione dei dati trasmesse dall’Agenzia delle entrate, in esito agli aggiornamenti che dovranno essere apportati sulla base delle condizioni individuate nel presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 36, par. 4, e 58, par. 2, lett. b), del Regolamento, esprime parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia recante “Regole tecniche per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti o stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio, nonché per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere e per l’attuazione delle ulteriori disposizioni di cui all’articolo 1 del decreto legislativo 5 agosto 2015, n. 127”, attuativo dell’art. 14 del decreto legge 26 ottobre 2019, n. 124, convertito, con modificazioni, dalla legge 19 dicembre 2019, n. 157, alle condizioni di cui ai punti da 1) a 5);

b) dispone la trasmissione di copia del presente provvedimento al Consiglio nazionale dei dottori commercialisti e degli esperti contabili, al fine di favorirne la diffusione dell’osservazione   di cui al punto 5.5 del presente provvedimento.

Roma, 22 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei